「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>Azure Subscriptionの管理@エンプラ]] * 目次 [#v53c60a8] #contents *概要 [#n44a8d8f] FgCFは、MSKKがコンサル内容を、汎化して一般公開しているものらしい。 **課題 [#iec2ea95] ***海外の成功事例 [#ffc2815d] -適切な技術回帰により自社の Tech Intensity (技術を自ら実践的に使いこなす力)を高める -競争領域に関しては、内製型アジャイル開発にシフトして、継続的に企業競争力を強化する -非競争領域に関しては、アウトソースを活用しながらも、開発の主導権は自社できちんと握って適切な開発を進める ***国内の課題 [#t3daae9b] -閉鎖的な IT 環境 : 境界セキュリティを前提とした IT 環境 -新技術導入がしにくい社内ルール : 最新技術の積極活用を拒む過度なルール -IT 人材の技術力不足 : 最新技術を利活用できない・手を動かせないレガシー人材の増加 **解決 [#abbe51ec] -IT インフラ全体を --目先の話に留まらず、 ---セキュリティ強化 ---サーバ環境のクラウド化 ---リモートワーク対応 --[[ゼロトラスト>#ce985e9f]]・モデルにモダナイゼーション --企業全体の DX 推進の礎とする。 -すべての端末・サーバを[[マイクロ・セグメンテーション>#cd279555]]し、~ ユーザから見て、SSOで、どの端末から、どこのサーバへも行けるようにする。 *詳細 [#ia88e622] -GitHub 上にインデックス・ページがある。 --GitHub - nakamacchi/fgcf: Financial-grade Cloud Fundamentals~ https://github.com/nakamacchi/fgcf -以下のようなコンテンツを含んでいる。 --ゼロトラスト型マルチクラウド環境を念頭に置いて、~ どのように OA 環境や DC 環境を構成すべきかという全体構成論 --仮想ネットワークや [[Azure AD>Microsoft Azure Active Directory]]、IaaS VM など、~ Azure 技術に関する実践的な視点からの解説 --より具体的に IaaS VM や PaaS Web Apps, AKS などを利用して、~ どのようにシステムを構成すべきかのリファレンス・アーキテクチャ **歩き方 [#rb4080e7] ***すべての利用者 [#q9cd390a] 先ず「ゼロトラスト型マルチクラウド IT 環境」を確認する。 -ゼロトラスト入門編~ ≒ [[ゼロトラスト>#ce985e9f]] -OA 環境設計 -- ≒ [[既存環境からの移行ステップ>#s5027fbf]] -- ≠ [[開発環境>#n5769e5a]](... -[[Azure Well-Architected Framework]] - [[Security>Azure Well-Architected Framework - Security]] ***共通技術 [#f8093d0b] 更に「Azure による仮想データセンタ構築手法 - 共通技術」として以下を学習する。 -VDC 構築の進め方の全体像 -ネットワーク基盤の構築方法 --[[Azure 仮想ネットワーク基礎>Azureの仮想ネットワーク]] ---[[Azure Virtual Data Center]] ---[[Azureの高可用性設計]] ---[[Azureによる基盤開発法]] --[[ARM テンプレートの利用方法>Azure Resource Manager テンプレート]] -認証基盤の構築方法 --[[Azure Active Directory]] --[[Azureのアクセス制御と権限]] --[[AzADirectoryのテナント作成方法>Azure Active Directoryのテナント作成方法]] ***IT インフラエンジニアの方々 [#u23eb58c] Azure による仮想データセンタ構築手法 -[[IaaS の構成方法>Azureの仮想ネットワーク]] -[[DaaS の構成方法>#a23e9f1b]] ***開発エンジニアの方々 [#n5769e5a] Azure による仮想データセンタ構築手法 -PaaS の構成方法 --[[AKSをセキュアに利用するためのテクニカルリファレンス]] --[[AppService閉域構成テクニカルリファレンス]] --ARO (Azure Red Hat OpenShift) --Azure Batch -DevOps の構成方法 --[[Azure DevOps]] ※ 開発環境については [[OA 環境>#q9cd390a]]と同列に語れない。 **ゼロトラスト [#ce985e9f] -どこかの団体で規定されるような、正式な定義が存在しない(アイディアでありコンセプトの収集) -長いサイクルによる複数の手段で成り立つ(それは20年、30年かかるインフラかもしれない) -コンプライアンスは事業継続において必要不可欠であるが戦略ではない。 --セキュリティ実装と投資をしてコンプライアンスを守っても侵入され結果につながらなかった。 --セキュリティOutcomeではなくビジネスOutcomeにフォーカスする。~ 侵害があった場合、損害と失敗を引き起こす、守るべき資産を考えることが重要になる。 ***境界型ネットワーク(従来型) [#c31b5ae3] 境界型ネットワークの問題 -「中は安全、外は危険」という、ある意味では非常に雑な、バルク(セグメンテーション)保護 -...と言う事で、クラウド活用が進む中、境界型ネットワークがアンマッチに。~ コレを維持しようとすると、「境界」をいたずらに肥大化させるようなアプローチになる。 --閉域縛り:オンプレのみ。 --みなしオンプレ:VPN接続+閉域と同じセキュリティ・ポリシ等([[オンプレ延展・延伸>#aed3c834]]) --みなし閉域:XaaSに、IPアドレス制限をかける -ソリューションとして~ 「[[ゼロトラスト型ネットワーク>#v848f6d2]]」がある。~ ゼロトラスト化で、以下が期待できる。 --社内 LAN が閉域でなくても一定の安全性を保てるようになる。 --セキュリティ向上だけではなく IT のアジリティ向上にも役立つ。 --それ以外にも、回線やSaaS化によるコスト最適化につながる。 ***[[ゼロトラスト型ネットワーク>#x4d70750]] [#v848f6d2] -[[トラストのベースは主体(ID)の信頼性(正当性)>#i6336b6a]] -戦略的考え方 --[[新しい論理的なセキュリティ境界を作り出す技術要素>#t28536c0]]を活用し、 --ネットワークを[[マイクロ・セグメンテーション>#cd279555]]することで、 --[[ラテラル・ムーブメントを防ぐ>#o896f5d7]]リバレッジ(増幅効果)を得る。 --これは、詳細なエンフォースメント(法執行)により実行される。 -参考:[[ゼロトラスト - 開発基盤部会 Wiki>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?%E3%82%BC%E3%83%AD%E3%83%88%E3%83%A9%E3%82%B9%E3%83%88]] ***トラストのベースは、主体(ID)の信頼性(正当性) [#i6336b6a] -「ネットワーク経路」は、一要素でしかない~ 様々な要素を総合的に判断できる仕組み・仕掛を導入 --クレデンシャル情報 ---パスワード ---多要素認証(生体認証・ワンタイムパスワード) --ユーザ・コンテキスト(ユーザ・プロファイル情報) --ロケーションに基づくポスチャ(認証後の振る舞い) >※ [[Azure AD>Microsoft Azure Active Directory]]の[[条件付きアクセス>Azure Active Directory 条件付きアクセス]]によりこれが実現されている。 ***新しい論理的なセキュリティ境界を作り出す技術要素 [#t28536c0] -[[ID 管理・権限制御>#i6336b6a]] -ハードニング --[[サーバ保護>#v7c0cd6a]] --[[デバイス保護>#jb09d729]] -情報保護・統制 --サーバ --デバイス -ログ収集・監査 --サーバ~ [[サーバ保護>#v7c0cd6a]] --デバイス~ [[デバイス保護>#jb09d729]] ***マイクロ・セグメンテーション [#cd279555] -[[ゼロトラスト型ネットワーク>#v848f6d2]]書籍の中で語られている~ [[ラテラル・ムーブメントを防ぐ>#o896f5d7]]セグメンテーション戦略 -≒ 自宅WiFiの隔離機能~ SSIDに接続している無線機器はInternet側とだけ通信可能になる。 -注意すべきポイント~ 端末系とサーバ系とで --粒度が異なる。 ---端末系~ 端末単位でセグメンテーション ---サーバ系~ 論理的(業務的)な意味で管理し易い業務システム --阻害要因が異なる。 ---端末系~ ... ---サーバ系~ システムの重要性などに応じて、認証・認可制御の選択が必要。 -実践;[[既存環境からの移行ステップ>#s5027fbf]] ***ラテラル・ムーブメントの防止 [#o896f5d7] -原点 --近代的なセキュリティを考える上では最も重要(原点) --ラテラル・ムーブメントの防止 --- → [[マイクロ・セグメンテーション>#cd279555]] --- → [[ゼロトラスト型ネットワーク>#v848f6d2]] -要素 --構成要素 ---ラテラル・ムーブメント = 水平攻撃・水平移動 ---[[マイクロ・セグメンテーション>#cd279555]]戦略による抑止 ---その他~ ・堅牢な認証基盤による主体(プリンシパル)の確実な特定(否認の抑止)~ ・セキュリティログ収集基盤(SIEM)などによる遠隔監視・制御の仕組み --[[技術要素>#t28536c0]] ***[[参考>#sbe03823]] [#pd96fa67] **既存環境からの移行ステップ [#s5027fbf] ***現実的な [#fdd21c6c] -戦略~ ハイ・セキュアゾーン(≒[[境界型ネットワーク>#c31b5ae3]])は現行を維持 --ハイ・セキュアゾーンを隔離して、[[ゼロトラスト型ネットワーク>#v848f6d2]]化を推進する。 --ハイ・セキュアゾーン(≒オンプレ)も段階的に[[ゼロトラスト型ネットワーク>#v848f6d2]]化する。 --これにより、全体が閉域でないと安全性を担保できない、という状態から脱却できる。 -構成~ ロー・セキュアゾーンを[[ゼロトラスト型ネットワーク>#v848f6d2]]化して行く。 --ロー・セキュアゾーンの拡張を原則として禁止 --新規開発システムは[[ゼロトラスト型ネットワーク>#v848f6d2]]型で開発~ (ロー・セキュアゾーン → ゼロトラスト・ゾーン) ***オンプレ延展・延伸 [#aed3c834] -[[VPN Gateway]] -[[Azure ExpressRoute]] -[[Azure Peering Service]] ※ IPアドレスの枯渇や、[[ラテラル・ムーブメントの防止>#o896f5d7]]などが課題 ***ゼロトラスト拡張 [#uc3de4ee] [[Hub & Spoke 構成の仮想ネットワーク>Azureの仮想ネットワーク#s9fb73fc]]で[[マイクロ・セグメンテーション>#cd279555]] -IaaS / PaaS活用: --[[Network Security Group (NSG)]] --[[Azure Private Link]] / [[Endpoint>Azure Private Endpoint]] -SaaS活用:[[Azure Peering Service]] -DaaS活用~ ユーザは --ゼロトラスト・ゾーン → ハイ・セキュアゾーンの境界越えに[[DaaS>#a23e9f1b]]を利用 --ゼロトラスト・ゾーンで、ファット・クライアントを利用(→ [[ローカル活用>#u296152a]]) ***ローカル活用 [#u296152a] ローカルから、ゼロトラスト・ゾーンへ侵入を許可する。 -[[デバイス保護>#jb09d729]]が必要になる。 -経路 --強制VPN収容(新規VNETを作成) --ローカル・ブレイクアウト~ クラウドサービスのトラフィックを識別して~ 企業拠点から直接インターネットに送出する方法 ***サーバ保護 [#v7c0cd6a] 野良クラウド(シャドウIT)は危ない。 -ハードニング~ [[Azure Security Center>Azureの監視と管理#ya8d8b14]] -インバウンド~ [[AzureのGW / LB的なモノ。]] --[[DaaS>#a23e9f1b]] --[[Azure Application Gateway]] --[[Azure Private Link]] / [[Endpoint>Azure Private Endpoint]] -アウトバウンド~ [[Azureのプロキシ的なモノ。]] --[[Azure Firewall]](フィルタ / ログ) --[[Azure Private Link]] / [[Endpoint>Azure Private Endpoint]] -最低限 --課金モニタリング --環境モニタリング ***デバイス保護 [#jb09d729] BYODは危ない。 -ハードニング~ EDR & TVM(Endpoint Protection、[[マルウェア対策>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?SC%EF%BC%9A%E8%84%85%E5%A8%81#b8dfbc98]]的な。 --Endpoint Detection & Response --Threat Vulnerability Management -行動制限~ 安全なサービスのみに接続先を制限 --クラウドプロキシ型 --端末エージェント型 -行動ログ取得~ 端末上での作業内容を記録 --DaaS 録画型 --端末エージェント型 ※ ローカルの完全な保護が難しいとなるので、以下の措置に行きやすい。 -ローカルネットワークの制限 --アウトバウンド:プロキシ適用 --インバウンド:FW適用 -専用の[[シン・クライアント>#a23e9f1b]]端末。 ***微妙なゼロトラスト [#kb1736da] ゼロトラストは、~ 「あらゆる要素を検証し信用を積み上げ、その信用に応じたアクセスを提供」~ と言うコンセプトなので、単体での対策は≒「微妙なゼロトラスト」となる。 -何も信用しないゼロトラスト~ =思いつくセキュリティ施策を全部やる~ 単に今までのセキュリティ施策を全部重ねがけしただけ。 -マイクロ・セグメンテーションでゼロトラストを実現する~ =サーバ単位にネットワークを隔離してハードニング~ (そしてネットワーク監視ソリューションを売り込む) -クラウドプロキシによりゼロトラストを実現する~ =単にネットワークまわりの通信制御の面倒ごとを 1 box 化しただけ~ -動的認可ポリシーエンジンでゼロトラストを実現する --動的認可ポリシーエンジン=信用スコアを用いた動的な認可の制御 --=考え方としては正しいものの製品が追い付いていない場合には絵に描いた餅 *参考 [#mfb39aad] **とあるコンサルタントのつぶやき [#l080a86e] ***FgCF (Financial-grade Cloud Fundamentals) のご紹介 [#ve34867b] http://nakama.azurewebsites.net/?p=78 -https://github.com/nakamacchi/fgcf ***[[おうちゼロトラストから学ぶ実践的セキュリティ強化>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?%E3%82%BC%E3%83%AD%E3%83%88%E3%83%A9%E3%82%B9%E3%83%88#g3e28965]] [#sbe03823] **[[シン・クライアント>OA-LANとAzureのVNETの分離#ua896645]] [#a23e9f1b] -VDIやDaaS等のソリューションがある。 -ハイ・セキュアゾーンへの入り口に必要。 -ユーザは --ゼロトラスト・ゾーンに接続し、 --ハイ・セキュアゾーンへはシン・クライアントで入る。 ---- Tags: [[:クラウド]], [[:Azure]], [[:セキュリティ]], [[:通信技術]], [[:セキュリティ]], [[:認証基盤]]